Gravacacher är mycket enkel och lätt cachningsservern avsedd för ett specifikt syfte: att cache avatar bilder från tjänster som www.gravatar.com, som ger "globalt erkända avatarer".
Vanligtvis kommer Gravacacher sättas på webbplatser som värd bloggar eller forum som är beroende av Gravatars. Den Gravacacher projektet stödjer en säkerhetsmekanism som gör det möjligt att svara på endast frågor som görs via webbadresser som genereras av din servermjukvara, såsom blogg eller forum motorer, permanent cachade enheter, och både positiva och negativa TTL när caching.
Här är några viktiga inslag i "Gravacacher":
· Stöder säkerhetsmekanism för att tillåta åtkomst till dessa avatarer webb programvara har genererat länkar till, mer om detta nedan.
· Stöder flera platser - Jag vet inte någon annan tjänst förutom gravatar.com just nu, men det är möjligt nya kan visas.
· Stöder "permanenta" avatarer, det vill säga de som aldrig upphör att gälla - användbar för dina egna avatarer som lagras på din egen webbserver.
· Stöder både positiva och negativa TTL för cachade avatarer.
· Stöder "default" avatarer hämtar även om huvudservern är nere eller överbelastad - kommer de hämtade avatarer inte ändras, men så se till att länken pekar på bilden av rätt storlek.
Säkerhetsmekanism förklaring
Grundtanken är att förhindra andra att använda din gravacacher installation som fri gravatar.com caching proxy för sina egna behov.
Lämna din avatarer proxy öppen kunde inte bara orsaka oönskad systembelastning och trafik, men även när det gäller något fel från gravatar.com eller annan server kan du cache - till exempel om servern du cache inte valideras "default" parameter väl nog - obegränsad installation skulle i själva verket bli öppet allmänt ändamål HTTP-proxyserver, som är ännu farligare.
För att övervinna att följande görs:
Länkgenerator (som är typiskt någon blogg / forum motor) förutom att alstra den vanliga uppsättningen parametrar som är nödvändiga för att hämta informationen från gravatar.com eller annan server, genererar också MD5 hash av "lösenord" + "parametrar", där "Lösenord" är känd endast för gravacacher och generatormotor. Denna hash läggs till den uppsättning av parametrar som sätts i länken.
Vid servering begäran beräknar gravacacher MD5 hash av reveiver parametrar (exklusive hash, naturligtvis) och jämför den med den mottagna hash. Om dessa inte stämmer överens - begäran nekas.
Här är ett enkelt exempel, med hjälp av falska hash / ids för tydlighetens skull.
Antag att begäran vi normalt skulle generera är
http://www.gravatar.com/avatar.php?gravatar_id=12345&size=80&
default = http: //www.example.com/default_image.png
Parametrar här är "gravatar_id = 12345 & size = 80 & default = http: //www.example.com/default_image.png"
Om lösenordet är "bla-bla-bla" och gravacacher installationen är tillgängliga som "www.example.com/gravacacher.fcgi" sedan generera programvara ska utföra följande:
gravacacher_id = MD5 ("bla-bla-blagravatar_id = 12345 & size = 80 &
default = http: //www.example.com/default_image.png ")
Låt gravacacher_id från föregående steg vara "67890" .Tryck sedan skapar vi nya webbadressen genom att gravacacher_id där och ersätta www.gravatar.com av gravacacher url resulterar i följande url:
http://www.example.com/gravacacher.fcgi?gravatar_id=12345&size=80&
default = http: //www.example.com/default_image.png&gravacacher_id=67890
Observera att denna funktion inte förhindra obehörig hämtning av avatarer från cacheminnet som du genererade länkarna för att - trots allt, det är nästan omöjligt att veta om beställaren är "giltig" en - det vill säga att den som precis hämtat sidan från din server och Nu ber om avatarer från länkar från den sidan, till skillnad från någon som hämtade sidan för en tid sedan och nu upprepade gånger använder genererade länk för att hämta avataren om och om igen.
Men det hindrar andra från att använda din cache att hämta saker du aldrig har skapat länkar till - och att jag beleive, bör vara tillräckligt för de flesta människor. Om inte, överväga att genomföra någon form av lösenord rotation, så att det lösenord som används för att generera länkar ändras då och då, vilket gör alla tidigare länkar ogiltig.
Slutligen, naturligtvis, om trots alla faror du vill obegränsad tillgång - du kan stänga säkerhetskontrollen av genom att ange tomt lösenord i config och utelämna gravacached_id från dina länkar -. Då gravacacher kommer att arbeta i obegränsad läge
Kommentarer hittades inte